{"id":506,"date":"2015-08-17T03:51:27","date_gmt":"2015-08-17T00:51:27","guid":{"rendered":"https:\/\/furkansandal.com\/temel-tcpdump-kullanimi\/"},"modified":"2015-08-17T03:51:27","modified_gmt":"2015-08-17T00:51:27","slug":"temel-tcpdump-kullanimi","status":"publish","type":"post","link":"https:\/\/furkansandal.com\/temel-tcpdump-kullanimi\/","title":{"rendered":"Temel Tcpdump Kullan\u0131m\u0131"},"content":{"rendered":"
Tcpdump network \u00fczerinde paket analizi yapmam\u0131z\u0131 sa\u011flayan bir programc\u0131kt\u0131r.T\u00fcm linux da\u011f\u0131t\u0131mlar\u0131nda kurulu olarak gelmektedir.Bu yaz\u0131da tcpdump \u2018\u0131n temel kullan\u0131m\u0131n\u0131 inceleyece\u011fiz.\u00d6ncelikle tcpdump program\u0131 linux makinelerde sistem binary alt\u0131nda bulunur.(\/usr\/sbin\/tcpdump)Bu dizin alt\u0131nda bulunan hemen t\u00fcm programc\u0131klar gibi tcpdump da cal\u0131smak i\u00e7in sizden y\u00f6netici(root) olman\u0131z\u0131 beklemekte. tcpdump -i eth0 Not: Linux makinelerde ethernet kart\u0131n\u0131z ile ilgili bilgileri ifconfig -a<\/strong> komutu ile alabilirsiniz. tcpdump -c 10 -i wlan0 <\/strong><\/span><\/p>\n<\/blockquote>\n tcpdump -A -i wlan0 <\/strong><\/span><\/p>\n<\/blockquote>\n tcpdump -XX -i wlan0 <\/strong><\/span><\/p>\n<\/blockquote>\n tcpdump -w paketadi.pcap -i wlan0 <\/strong><\/span><\/p>\n<\/blockquote>\n Bu \u015fekilde dosya ismi verdi\u011fimizde bulundu\u011fumuz dizine bir pcap dosyas\u0131 olu\u015fturulur.Direkt isim vermek yerine bir dosya yolu vererek de pcap dosyas\u0131 olu\u015fturabiliriz. tcpdump -r paketadi.pcap <\/strong><\/span><\/p>\n<\/blockquote>\n 7.Paketleri ip adresi ile yakalamak(tcpdump -n)<\/strong> tcpdump -n -i wlan0 <\/strong><\/span><\/p>\n<\/blockquote>\n 8.X Byte dan b\u00fcy\u00fck paketlerin yakalanmas\u0131 <\/strong> tcpdump -i wlan0 greater 1024 <\/strong><\/span><\/p>\n<\/blockquote>\n 9.Spesifik bir protokolden paket almak<\/strong> tcpdump -i wlan0 udp <\/strong><\/span><\/p>\n<\/blockquote>\n 10.X byte dan k\u00fcc\u00fck paketleri okumak<\/strong> tcpdump -i wlan0 less 1024 <\/strong><\/span><\/p>\n<\/blockquote>\n 11.Spesifik bir porttan paketleri yakalamak<\/strong> tcpdump -i wlan0 port 80 <\/strong><\/span><\/p>\n<\/blockquote>\n 12.Spesifik bir ip ve porttan paketlerin yakalanmas\u0131 tcpdump -i wlan0 dst 192.168.1.2 and port 80 <\/strong><\/span><\/p>\n<\/blockquote>\n 13.\u0130ki makine aras\u0131ndaki tcp ba\u011flant\u0131 paketlerini alma<\/strong>
1.Spesifik bir interface\u2019den paket yakalamak(tcpdump -i)
<\/strong>
E\u011fer tcpdump komutuna herhangi bir parametre verilmez ise bu komut t\u00fcm kartlardan paket toplar.Ancak \u00f6zel bir karttan paket toplamas\u0131n\u0131 istiyorsak tcpdump komutunu \u015fu \u015fekilde vermeliyiz.<\/p>\n\n
tcpdump -i wlan0<\/strong><\/span><\/p>\n<\/blockquote>\n
2.Belirli say\u0131da paket yakalamak (tcpdump -c)<\/strong>
Tcpdump komutu s\u00fcrekli devam eden bir komuttur.Yani, bir kez tcpdump komutu verdi\u011finizde siz s\u00fcreci durdurmad\u0131\u011f\u0131n\u0131z s\u00fcrece paket yakalamaya devam eder.Ancak -c parametresi ile belirli bir say\u0131da paket yakalayabiliriz.A\u015fa\u011f\u0131daki \u00f6rnekte bir 10 adet paket yakalayaca\u011f\u0131z.<\/p>\n\n
3.Yakalanan paketleri ASCII format\u0131na \u00e7evirmek (tcpdump -A )
<\/strong>
Tcpdump\u2019\u0131n -A parametresi yakalanan paketlerin i\u00e7eri\u011fini ASCII format\u0131nda ekrana basar.<\/p>\n\n
4.Yakalanan paketleri HEX ve ASCII format\u0131nda g\u00f6r\u00fcnt\u00fclemek(tcpdump -XX)<\/strong>
Tcpdump\u2019\u0131n -XX parametresi ile birlikte yakalanan paketler hem HEX hemde ASCII format\u0131nda g\u00f6r\u00fcnt\u00fclenebilir.<\/p>\n\n
5.Yakalanan paketlerin bir dosyaya yazd\u0131r\u0131lmas\u0131(tcpdump -w)<\/strong>
Tcpdump -w parametresi yakalad\u0131\u011f\u0131m\u0131z paketleri bir dosyaya yazarak daha sonra analiz etmemize olanak tan\u0131r.Kaydedece\u011fimiz dosyan\u0131n uzant\u0131s\u0131 .pcap<\/strong> olmal\u0131d\u0131r.<\/p>\n\n
6.Kaydedilmi\u015f pcap dosyas\u0131n\u0131n okunmas\u0131(tcpdump -r)
<\/strong>
Bir \u00f6nceki maddede yakalanan paketlerle ilgili bilgilerin bir pcap dosyas\u0131na yazd\u0131rd\u0131k.Bu dosyay\u0131 okumam\u0131z gerekti\u011finde a\u015fa\u011f\u0131daki komutu girmemiz gerek.<\/p>\n\n
Daha do\u011frusunu s\u00f6ylemek gerekirse adreslerin \u00e7\u00f6z\u00fcmlemesini yap\u0131p \u00e7evirmez.Bundan \u00f6nceki \u00f6rneklerdeki tcpdump \u00e7\u0131kt\u0131lar\u0131 bize DNS sonu\u00e7lar\u0131 veriyordu.Ancak -n parametresi ile sonu\u00e7lar\u0131 ip adresi olarak alabilmekteyiz.<\/p>\n\n
A\u015fa\u011f\u0131daki komut ile bilgisayar\u0131n\u0131z sadece 1024 byte dan b\u00fcy\u00fck paketleri yakalayacakt\u0131r.<\/p>\n\n
Tcpdump sayesinde bir \u00e7ok protokolden paket toplayabilmekteyiz.(fddi,tr,wlan,ip,ip6,arp,rarp,decnet, tcp and udp)A\u015fa\u011f\u0131daki \u00f6rnekte wlan0 aray\u00fcz\u00fc i\u00e7in udp paketlerini toplayan komutu g\u00f6rebilirsiniz.<\/p>\n\n
A\u015fa\u011f\u0131daki komutla 1024 byte dan k\u00fc\u00e7\u00fck paketleri yakalayacakt\u0131r.<\/p>\n\n
A\u015fa\u011f\u0131daki komutla spesifik bir porttan paketleri toplayabiliriz.A\u015fa\u011f\u0131da 80. port i\u00e7in gerekli komutu bulabilirsiniz.<\/p>\n\n
<\/strong>
Tcpdump taraf\u0131ndan yakalanan paketlerde hedef ve kaynak ip adresleri ,port bilgileri yer al\u0131r.A\u015fa\u011f\u0131daki komut ile spesifik bir ip adresi ve port ile ilgili paketleri yakalayabiliriz.<\/p>\n\n
A\u011f \u00fczerinde iki makine tcp protokol\u00fc \u00fczerinden birbiriyle konusuyor ise a\u015fa\u011f\u0131daki kod ile iki makine aras\u0131ndaki paketleri yakalayabiliriz.<\/p>\n\n